La società di sicurezza Internet Imperva ha annunciato che la sua soluzione di mitigazione DDoS (distributed denial of service) ha battuto un nuovo record, difendendosi da un singolo attacco che ha inviato oltre 25,3 miliardi di richieste a uno dei suoi clienti. L’obiettivo era un fornitore di servizi di telecomunicazione cinese, spesso vittima di attacchi DDoS con volumi insolitamente elevati. L’attacco DDoS si è svolto il 27 giugno 2022, con un picco di 3,9 milioni di richieste al secondo (RPS) e una media di 1,8 milioni di RPS.
Anche se questo dato impallidisce rispetto all’attacco record mitigato da Cloudflare a giugno, che ha raggiunto i 26 milioni di RPS, la durata nel caso di Imperva è stata insolitamente lunga. Gli attacchi che superano il milione di RPS durano in genere tra alcuni secondi e pochi minuti, ma quello mitigato da Imperva è durato oltre quattro ore.
“L’attacco è iniziato a 3,1 milioni di RPS e ha mantenuto un tasso di circa 3 milioni di RPS. Una volta raggiunto il picco di 3,9 milioni di RPS, l’attacco è diminuito per diversi minuti, ma è tornato alla massima potenza per un’altra ora”, descrive Imperva. Secondo l’azienda, solo un attacco DDoS su dieci dura più di un’ora, e una percentuale ancora più bassa ha una potenza di fuoco notevole sostenuta per così tanto tempo.
L’attacco DDoS che Imperva ha mitigato è stato lanciato da una massiccia botnet diffusa in 180 Paesi, con la maggior parte degli indirizzi IP localizzati negli Stati Uniti, in Brasile e in Indonesia. La botnet ha utilizzato 170.000 dispositivi catturati, tra cui modem router, telecamere di sicurezza intelligenti, server vulnerabili e IoT poco protetti. Imperva osserva che alcuni dei server da cui è partito il traffico dannoso sono ospitati su cloud pubblici e fornitori di servizi di sicurezza cloud, il che indica un abuso su larga scala. Sebbene la botnet non sia stata nominata o identificata, non sembra essere “Mantis”, responsabile del record di mitigazione DDoS di Cloudflare in estate.
Cloudflare afferma che Mantis si basa su un numero inferiore di dispositivi, poco più di cinquemila, concentrandosi principalmente sull’arruolamento di potenti server e macchine virtuali. Il numero di dispositivi utilizzati contro il client di Imperva è più vicino alle stime di Mēris, la botnet responsabile del precedente record DDoS, con 21,8 milioni di RPS. I ricercatori hanno stimato che lo sciame di Mēris comprendeva tra i 30.000 e i 250.000 dispositivi.
Tuttavia, sia Mēris che Mantis hanno precedentemente sferrato colpi rapidi in attacchi di breve durata, non DDoS di più ore, quindi potrebbe trattarsi di una botnet nuova, non ancora identificata.
